项目案例15 无线控制器MAC地址认证 Guest VLAN解析
IP-MAC绑定“攻防”详解
MAC与IP地址绑定攻防详解1 引言对“IP地址盗用”的解决方案绝大多数都是采取MAC与IP地址绑定策略,这种做法是十分危险的,本文将就这个问题进行探讨。
在这里需要声明的是,本文是处于对对MAC与IP地址绑定策略安全的忧虑,不带有任何黑客性质。
1.1 为什么要绑定MAC与IP 地址影响网络安全的因素很多,IP地址盗用或地址欺骗就是其中一个常见且危害极大的因素。
现实中,许多网络应用是基于IP的,比如流量统计、账号控制等都将IP地址作为标志用户的一个重要的参数。
如果有人盗用了合法地址并伪装成合法用户,网络上传输的数据就可能被破坏、****,甚至盗用,造成无法弥补的损失。
盗用外部网络的IP地址比较困难,因为路由器等网络互连设备一般都会设置通过各个端口的IP地址范围,不属于该IP地址范围的报文将无法通过这些互连设备。
但如果盗用的是Ethernet内部合法用户的IP地址,这种网络互连设备显然无能为力了。
“道高一尺,魔高一丈”,对于 Ethernet内部的IP地址被盗用,当然也有相应的解决办法。
绑定MAC地址与IP地址就是防止内部IP盗用的一个常用的、简单的、有效的措施。
1.2 MAC与IP 地址绑定原理IP地址的修改非常容易,而MAC地址存储在网卡的EEPROM中,而且网卡的MAC 地址是唯一确定的。
因此,为了防止内部人员进行非法 IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。
目前,很多单位的内部网络,尤其是学校校园网都采用了MAC地址与IP地址的绑定技术。
许多防火墙(硬件防火墙和软件防火墙)为了防止网络内部的IP地址被盗用,也都内置了MAC地址与IP地址的绑定功能。
从表面上看来,绑定MAC地址和IP地址可以防止内部IP地址被盗用,但实际上由于各层协议以及网卡驱动等实现技术,MAC地址与IP地址的绑定存在很大的缺陷,并不能真正防止内部IP地址被盗用。
构建MAC地址认证的无线网络课件
MAC地址绑定困难
描述
手动绑定MAC地址到设备是一项繁琐的任务,容易出错。
01
解决方案1
使用MAC地址白名单
02
描述
只允许已知的MAC地址列表中的设备接入网络,可以有效防止未知地址过滤器
04
描述
通过专业的MAC地址过滤设备,可以更高效地过滤非法设备。
05
解决方案3
自动绑定MAC地址
06
描述
通过技术手段自动绑定MAC地址到设备,简化管理流程。
描述
描述
未来MAC地址认证将更加智能化,减少人工干预。
描述
随着网络安全威胁的增加,MAC地址认证的安全性将得到进一步加强。
趋势3
统一认证标准
智能化管理
趋势1
趋势2
安全性增强
未来可能会有统一的MAC地址认证标准,提高网络安全性。
连接测试
尝试使用已认证的设备连接到无线网络,检查是否能够正常连接并访问互联网。
安全策略与优化
04
在构建mac地址认证的无线网络之前,需要制定一套完善的安全策略,包括访问控制、数据加密、安全审计等方面的规定。
制定安全策略
明确网络安全的目标,例如保护敏感数据、防止未经授权的访问等,并根据目标制定相应的安全措施。
详细描述
介绍无线网络的标准和协议,如IEEE 802.11系列标准,以及它们在无线网络中的作用和重要性。
总结词
无线网络的标准和协议是实现无线通信和数据传输的重要规范。其中最著名的标准是IEEE 802.11系列标准,包括802.11a、802.11b、802.11g、802.11n和802.11ac等。这些标准规定了无线网络的物理层和数据链路层规范,包括传输速率、信号调制、频率范围和工作模式等。此外,还有Wi-Fi联盟推出的Wi-Fi认证,用于确保设备之间的互操作性。
无线控制器通过认证服务器动态授权无线终端接入VLAN典型配置举例
无线控制器通过认证服务器动态授权无线终端接入VLAN典型配置举例首先,需要配置无线控制器。
无线控制器是一个集中管理多个无线接入点的设备,可以通过该设备统一管理和配置所有的无线终端。
1.连接无线控制器和认证服务器:将无线控制器与认证服务器连接到同一个网络中,以便它们之间可以进行通信。
2.配置认证服务器信息:在无线控制器上设置认证服务器的相关信息,包括服务器的IP地址、端口号、共享密钥等。
3.配置无线控制器的VLAN:为不同的用户组设置不同的VLAN,以实现对不同用户的访问控制和隔离。
4.配置无线接入点:将无线接入点与无线控制器进行绑定,确保无线控制器可以管理和配置这些接入点。
接下来,需要配置认证服务器。
认证服务器负责对无线终端进行认证、授权和账号管理。
1. 配置用户身份验证方式:可以使用本地数据库、RADIUS服务器或Active Directory等方式进行用户身份验证。
2.设置用户账号:创建用户账号,并为每个账号分配相应的权限和VLAN。
3. 配置认证方式:可以选择使用802.1X、预共享密钥、Web Portal等认证方式进行无线终端的认证。
最后,需要配置无线终端。
无线终端是连接无线网络的设备,通过认证服务器的授权,可以接入相应的VLAN。
1.配置无线接入方式:根据无线接入点的类型,设置无线终端的接入方式,包括无线网卡参数和接入点的SSID等。
2.配置认证方式:根据认证服务器的要求,设置无线终端的认证方式,如输入用户名和密码,或通过预共享密钥进行认证。
通过以上的配置步骤,无线控制器可以动态授权无线终端接入相应的VLAN。
当无线终端连接到无线网络时,它将向无线控制器发送认证请求,在认证服务器上进行身份验证。
如果认证成功,认证服务器将授权该无线终端接入指定的VLAN。
无线控制器会通过VLAN分发机制将无线终端隔离到相应的VLAN中,确保网络的安全和可靠性。
总结起来,无线控制器通过认证服务器动态授权无线终端接入VLAN是一种常见的网络配置。
vlan防mac欺骗原理
vlan防mac欺骗原理VLAN(Virtual Local Area Network)是一种虚拟局域网技术,通过将物理局域网划分成多个虚拟局域网,实现不同局域网之间的互通。
然而,由于VLAN技术在实际应用中存在一些安全隐患,其中之一就是MAC(Media Access Control)欺骗。
本文将介绍VLAN防MAC欺骗的原理。
1. MAC地址欺骗的概念MAC地址是网络设备唯一标识符,用于在局域网中唯一识别设备。
MAC地址欺骗是指攻击者通过伪造或篡改MAC地址的方式,冒充其他设备,获取或修改网络数据的行为。
在VLAN中,MAC地址欺骗可能导致数据泄露、网络拥塞等安全问题。
2. VLAN的工作原理VLAN通过在交换机上划分虚拟局域网,将不同的端口划分到不同的VLAN中,实现不同VLAN之间的隔离和通信。
VLAN使用VLAN ID来标识不同的虚拟局域网,交换机通过比对帧的VLAN标识符来判断数据该转发到哪个VLAN。
3. VLAN防MAC欺骗的原理为了防止MAC地址欺骗攻击,VLAN引入了一些机制来保护网络安全。
3.1 静态MAC地址绑定静态MAC地址绑定是指管理员在交换机上手动配置每一个端口所允许接入的MAC地址。
交换机会检查每一个接入端口上接收到的MAC地址,如果发现端口上的MAC地址与配置的MAC地址不匹配,交换机会拒绝该端口的访问。
3.2 动态MAC地址绑定动态MAC地址绑定是指交换机在接收到数据帧时,自动学习并记录源MAC地址和对应的端口信息。
当交换机收到目标MAC地址与源MAC地址不匹配或者对应端口不一致的数据帧时,会采取相应的措施,例如将该数据包丢弃。
3.3 MAC地址表+Aging机制交换机通过维护一张MAC地址表来记录网络中各个MAC地址与端口的对应关系。
交换机会根据一定的策略更新MAC地址表,例如通过定期清除一些长时间没有通信的记录。
这样可以防止攻击者通过发送大量的伪造源MAC地址的数据帧来混淆交换机的MAC地址表。
mac认证流程
MAC认证流程详解1. 什么是MAC认证?MAC(Media Access Control)认证是一种无线网络访问控制技术,它通过限制和验证设备的物理地址(MAC地址)来控制网络的访问权限。
在MAC认证过程中,网络管理员可以通过限制设备的MAC地址来保护无线网络的安全,并防止未授权的设备接入网络。
2. MAC认证流程步骤下面是典型的MAC认证流程的详细步骤:步骤1:设备连接和识别用户首先需要将其设备(如手机、电脑等)连接到无线网络。
一旦设备连接成功,无线接入点(Access Point)将会识别并记录设备的MAC地址。
步骤2:验证请求一旦设备被识别,无线接入点将生成一个认证请求,并将其发送给设备。
该请求通常是一个特殊的帧,其中包含认证所需的参数和信息。
接收到请求后,设备会进入认证模式。
步骤3:认证请求发送设备将会生成认证请求,并将其发送回无线接入点。
该请求包含设备的MAC地址以及一些其他信息,如身份凭证(用户名和密码)等。
步骤4:认证请求验证无线接入点将收到设备发送的认证请求,并开始验证该请求的有效性。
认证请求验证的方式可以是多种多样的,如以下几种:•MAC地址白名单:无线接入点会根据预先配置的MAC地址白名单来验证设备的有效性。
如果设备的MAC地址在白名单内,则请求通过验证。
否则,请求将会被拒绝。
•WPA/WPA2-Enterprise认证:无线接入点将发送设备提供的用户名和密码到认证服务器进行验证。
认证服务器会对提供的凭证进行验证,如果验证通过,则请求通过验证。
否则,请求将会被拒绝。
•证书认证:无线接入点会验证设备所提供的数字证书的有效性。
如果证书有效,则请求通过验证。
否则,请求将会被拒绝。
步骤5:认证结果通知一旦认证请求被验证通过,无线接入点将向设备发送认证结果通知。
如果认证成功,设备将获得网络访问权限。
否则,设备将被限制或拒绝访问网络。
3. MAC认证流程流程图下面是一个简化的MAC认证流程的流程图:设备连接和识别 -> 验证请求 -> 认证请求发送 -> 认证请求验证 -> 认证结果通知4. MAC认证流程的特点和优势MAC认证流程具有以下几个特点和优势:•安全性:通过限制和验证设备的MAC地址,MAC认证可以有效地保护无线网络的安全。
VLAN和MAC地址命令
目录第1章VLAN配置 ..................................................................... 1-11.1 VLAN配置命令 .................................................................................... 1-11.1.1 debug gvrp event ....................................................................................1-11.1.2 debug gvrp packet ..................................................................................1-11.1.3 dot1q-tunnel enable................................................................................1-21.1.4 dot1q-tunnel selective enable................................................................1-21.1.5 dot1q-tunnel selective s-vlan.................................................................1-21.1.6 dot1q-tunnel tpid.....................................................................................1-21.1.7 garp timer join .........................................................................................1-21.1.8 garp timer leave.......................................................................................1-21.1.9 garp timer leaveAll..................................................................................1-21.1.10 gvrp(全局)..........................................................................................1-31.1.11 gvrp(端口) ..........................................................................................1-31.1.12 no garp timer .........................................................................................1-31.1.13 name.......................................................................................................1-41.1.14 private-vlan............................................................................................1-41.1.15 private-vlan association.......................................................................1-51.1.16 show dot1q-tunnel ................................................................................1-51.1.17 show garp timer ....................................................................................1-51.1.18 show gvrp fsm information..................................................................1-61.1.19 show gvrp leaveAll fsm information...................................................1-61.1.20 show gvrp leavetimer running information........................................1-61.1.21 show gvrp port-member.......................................................................1-71.1.22 show gvrp port registerd vlan .............................................................1-71.1.23 show gvrp timer running information.................................................1-81.1.24 show gvrp vlan registerd port .............................................................1-81.1.25 show vlan...............................................................................................1-91.1.26 show vlan-translation.........................................................................1-101.1.27 switchport access vlan.......................................................................1-101.1.28 switchport dot1q-tunnel.....................................................................1-101.1.29 switchport forbidden vlan..................................................................1-101.1.30 switchport hybrid allowed vlan ......................................................... 1-111.1.31 switchport hybrid native vlan............................................................ 1-111.1.32 switchport interface............................................................................1-121.1.33 switchport mode .................................................................................1-121.1.34 switchport mode trunk allow-null .....................................................1-131.1.35 switchport trunk allowed vlan ...........................................................1-131.1.36 switchport trunk native vlan ..............................................................1-131.1.37 vlan .......................................................................................................1-141.1.38 vlan internal.........................................................................................1-141.1.39 vlan ingress enable.............................................................................1-151.1.40 vlan-translation ...................................................................................1-151.1.41 vlan-translation enable.......................................................................1-151.1.42 vlan-translation miss drop.................................................................1-15第2章MAC地址表配置命令 ..................................................... 2-12.1 MAC地址表配置命令........................................................................... 2-12.1.1 clear mac-address-table dynamic .........................................................2-12.1.2 mac-address-table aging-time...............................................................2-12.1.3 mac-address-table static | static-multicast | blackhole ......................2-12.1.4 show mac-address-table ........................................................................2-22.2 MAC地址绑定配置命令....................................................................... 2-32.2.1 clear port-security dynamic...................................................................2-32.2.2 mac-address-table periodic-monitor-time............................................2-32.2.3 mac-address-table trap enable..............................................................2-32.2.4 mac-address-table synchronizing enable ............................................2-42.2.5 show port-security..................................................................................2-42.2.6 show port-security address...................................................................2-52.2.7 show port-security interface..................................................................2-52.2.8 switchport port-security.........................................................................2-62.2.9 switchport port-security convert...........................................................2-62.2.10 switchport port-security lock...............................................................2-62.2.11 switchport port-security mac-address................................................2-72.2.12 switchport port-security maximum.....................................................2-72.2.13 switchport port-security timeout.........................................................2-72.2.14 switchport port-security violation.......................................................2-8第1章VLAN配置1.1 VLAN配置命令1.1.1 debug gvrp event命令:debug gvrp event interface (ethernet | port-channel | ) IFNAMEno debug gvrp event interface (ethernet | port-channel | ) IFNAME功能:开启/关闭GVRP事件调试信息开关,包括状态机的转移以及定时器到期等信息。
MAC地址认证上网
1MAC地址认证概述MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。
设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。
认证过程中,不需要用户手动输入用户名或者密码。
若该用户认证成功,则允许其通过端口访问网络资源,否则该用户的MAC地址就被添加为静默MAC。
在静默时间内(可通过静默定时器配置),来自此MAC地址的用户报文到达时,设备直接做丢弃处理,以防止非法MAC短时间内的重复认证。
为了将受限的网络资源与用户隔离,通常将受限的网络资源和用户划分到不同的VLAN。
当用户通过身份认证后,受限的网络资源所在的VLAN会作为授权VLAN 从授权服务器上下发。
同时用户所在的端口被加入到此授权VLAN中,用户可以访问这些受限的网络资源。
要实现MAC地址认证,需要提供以下功能组件:具有MAC地址认证功能的交换机为了能够对接入终端进行MAC地址认证,需要接入交换机拥有MAC认证功能,能够直接对接入终端进行地址认证。
Radius服务器一般情况下,接入交换机无法判断终端的MAC地址是否合法,需要将终端的MAC提交给Radius服务器进行验证,在Windows server 2003中,Windows IAS服务能够提供标准的Radius服务,但IAS无法建立MAC帐户,利用Windows的Active Directory(AD;活动目录)服务与IAS服务结合,就可以实现认证和管理MAC帐户的功能。
具体认证过如图所示:1.客户端接上网线,接入办公网络。
2.接入交换机学习到客户端的MAC地址,但不会开启接入端口,而是以客户端的MAC地址作为用户名和密码,向Radius服务器发起认证请求。
3.Radius服务器收到接入交换机的查询请求后,立即向DC发出查询请求。
4.DC查询自身的AD,看是否有该用户,是否到期,能否接入等信息,如果所需信息是肯定的,则认证成功,若其中一项是否定的,则认证失败。
H3C无线控制器本地MAC认证典型配置
H3C 无线控制器本地MAC 认证典型配置一、组网需求如图所示,集中式转发架构下,AP 和CIient 通过DHCPSerVer 获取IP 地址,要求在AC 上使用MAC 地址用户名格式认证方式进行用户身份认证,以控制其对网络资源的访 问。
图1本地MAC 地址认证配置组网图二、配置注意事项1、配置AP 的序列号时请确保该序列号与AP 唯一对应,AP 的序列号可以通过AP设备背面的标签获取。
2、在AC 上配置的MAC 地址认证的用户名、密码需要与Client 上配置的用户名、密码保持一致,即使用Client 的MAC 地址作为用户名和密码进行MAC 地址认证。
3、配置Switch 和AP 相连的接口禁止VLAN 1报文通过,以防止AC 上VLAN 1内的报文过多°三、配置步骤1、 配置AC(1) 配置AC 的接口# 创建VLAN IOO 及其对应的VLAN 接口,并为该接口配置IP 地址。
AP 将获取该IP 地址与AC 建立CAPWAP 隧道。
<AC> system-view [AC] vlan 100 [AC-vlanl00] quit [AC] interface vlan-interface 100 [AC-Vlan-InterfacelOO] ip address 112.12.1.25 24 [AC-Vlan-interfacelOO] quit# 创建VLAN 200及其对应的VLAN 接口,并为该接口配置IP 地址。
CIient 使用该 VLAN 接入无线网络。
[AC] vlan 200 [AC-vlan200] quit [AC] interface vlan-interface200Vlaπ4πt100; 112 12 1.25/16AC DHCP server Switch AP Client[AC-Vlan-interface200] ip address 112.12.2 ∙ 25 24 [AC -Vlan-interface200] quit# 配置 AC 和 Switch 相连的接口 GigabitEthernetI/0/1 为 Trunk 类型,禁止 VLAN 1 报文通过,允许VLANIoO 和VLAN 200通过,当前TnJnk 口的PVID 为100。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
项目案例计算机网络系统集成项目(工程项目案例及实践)所在系别:计算机技术系所属专业:计算机网络技术指导教师:张海峰专业负责人:孙志成H3C无线控制器MAC地址认证+Guest VLAN典型配置举例(V7)一、功能需求本文档介绍当用户MAC地址认证失败时只能访问某一特定的VLAN,即Guest VLAN 内的网络资源的典型配置举例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。
如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解AAA、MAC地址认证、WLAN用户接入认证和WLAN接入特性。
二、组网信息及描述如图1所示,集中式转发架构下,AP和Client通过DHCP server获取IP地址,设备管理员希望对Client进行MAC地址认证,以控制其对网络资源的访问,具体要求如下:∙配置VLAN 200为Client的接入VLAN,Client通过VLAN 200上线并在RADIUS server上进行MAC地址认证。
∙配置VLAN 300为Guest VLAN,当Client的MAC地址认证失败时进入Guest VLAN,此时Client只能访问VLAN 300内的网络资源。
三、配置步骤1.1 配置思路为了实现用户MAC地址认证失败后仅允许访问Guest VLAN内的资源,需要在无线服务模板下配置Guest VLAN功能,则认证失败的用户会被加入该Guest VLAN,且该用户仅被授权访问Guest VLAN内的资源,同时设备会启动一个30秒的定时器,以定期对用户进行重新认证。
1.2 配置步骤1.2.1 配置AC(1)配置AC的接口# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。
AP将获取该IP 地址与AC建立CAPWAP隧道。
<AC> system-view[AC] vlan 100[AC-vlan100] quit[AC] interface vlan-interface 100[AC-Vlan-interface100] ip address 112.12.1.25 16[AC-Vlan-interface100] quit# 创建VLAN 200及其对应的VLAN接口,并为该接口配置IP地址。
Client使用该VLAN接入无线网络。
[AC] vlan 200[AC-vlan200] quit[AC] interface vlan-interface 200[AC-Vlan-interface200] ip address 112.13.1.25 16[AC-Vlan-interface200] quit# 创建VLAN 300及其对应的VLAN接口,并为该接口配置IP地址。
Client MAC地址认证失败后将仅允许访问VLAN 300(即Guest VLAN)内的资源。
[AC] vlan 300[AC-vlan300] quit[AC] interface vlan-interface 300[AC-Vlan-interface300] ip address 112.14.1.25 16[AC-Vlan-interface300] quit# 配置AC和Switch相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 100、VLAN 200和VLAN 300通过,当前Trunk口的PVID 为100。
[AC] interface gigabitEthernet1/0/1[AC-GigabitEthernet1/0/1] port link-type trunk[AC-GigabitEthernet1/0/1] undo port trunk permit vlan 1[AC-GigabitEthernet1/0/1] port trunk permit vlan 100 200 300 [AC-GigabitEthernet1/0/1] port trunk pvid vlan 100[AC-GigabitEthernet1/0/1] quit(2)配置DHCP server# 开启DHCP server功能。
[AC] dhcp enable# 配置DHCP地址池vlan100,为AP分配的地址范围为112.12.0.0/16,网关地址为112.12.1.25。
[AC] dhcp server ip-pool vlan100[AC-dhcp-pool-vlan100] network 112.12.0.0 mask 255.255.0.0 [AC-dhcp-pool-vlan100] gateway-list 112.12.1.25[AC-dhcp-pool-vlan100] quit# 配置DHCP地址池vlan200,为Client分配的地址范围为112.13.0.0/16,网关地址为112.12.1.25。
[AC] dhcp server ip-pool vlan200[AC-dhcp-pool-vlan200] network 112.13.0.0 mask 255.255.0.0 [AC-dhcp-pool-vlan200] gateway-list 112.12.1.25[AC-dhcp-pool-vlan200] quit# 配置DHCP地址池vlan300,为从Guest VLAN上线的用户分配的地址范围为112.14.0.0/16,网关地址为112.12.1.25。
[AC] dhcp server ip-pool vlan300[AC-dhcp-pool-vlan300] network 112.14.0.0 mask 255.255.0.0 [AC-dhcp-pool-vlan300] gateway-list 112.12.1.25[AC-dhcp-pool-vlan300] quit(3)配置RADIUS认证# 创建名为office的RADIUS方案,并进入其视图。
[AC] radius scheme office# 配置主认证、计费RADIUS服务器的IP地址为112.12.1.50。
[AC-radius-office] primary authentication 112.12.1.50[AC-radius-office] primary accounting 112.12.1.50# 配置RADIUS认证、计费报文的共享密钥为123456789。
[AC-radius-office] key authentication simple 123456789[AC-radius-office] key accounting simple 123456789# 配置发送给RADIUS服务器的用户名不携带域名。
[AC-radius-office] user-name-format without-domain# 配置设备发送RADIUS报文使用的源IP地址为112.12.1.25。
[AC-radius-office] nas-ip 112.12.1.25[AC-radius-office] quit# 创建名为office1的ISP域,并进入其视图。
[AC] domain office1# 为lan-access用户配置认证、授权、计费方案为RADIUS方案office。
[AC-isp-office1] authentication lan-access radius-scheme office[AC-isp-office1] authorization lan-access radius-scheme office [AC-isp-office1] accounting lan-access radius-scheme office# 配置用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。
[AC-isp-office1] authorization-attribute idle-cut 15 1024 [AC-isp-office1] quit# 配置MAC地址认证的用户名和密码均为用户的MAC地址,且不带连字符(该配置为缺省配置)。
[AC] mac-authentication user-name-format mac-addresswithout-hyphen lowercase(4)配置服务模板# 创建无线服务模板1,并进入无线服务模板视图。
[AC] wlan service-template 1# 配置SSID为service。
[AC-wlan-st-1] ssid service# 配置客户端从无线服务模板1上线后会被加入VLAN 200。
[AC-wlan-st-1] vlan 200# 配置客户端接入认证方式为MAC地址认证。
[AC-wlan-st-1] client-security authentication-mode mac# 配置MAC地址认证用户使用的ISP域为office1。
[AC-wlan-st-1] mac-authentication domain office1(5)配置Guest VLAN# 在无线服务模板1下配置MAC地址认证失败后可授权访问的Guest VLAN为VLAN 300。
[AC-wlan-st-1] client-security authentication fail-vlan 300# 开启无线服务模板。
[AC-wlan-st-1] service-template enable[AC-wlan-st-1] quit(6)配置射频接口并绑定服务模板# 创建手工AP,名称为officeap,型号名称为WA4320i-ACN。
[AC] wlan ap officeap model WA4320i-ACN# 设置AP序列号为210235A1Q2C159000020。
[AC-wlan-ap-officeap] serial-id 210235A1Q2C159000020# 进入AP的Radio 2视图,并将无线服务模板1绑定到Radio 2上。
[AC-wlan-ap-officeap] radio 2[AC-wlan-ap-officeap-radio-2] service-template 1# 开启Radio 2的射频功能。
[AC-wlan-ap-officeap-radio-2] radio enable[AC-wlan-ap-officeap-radio-2] quit[AC-wlan-ap-officeap] quit1.2.2 配置Switch# 创建VLAN 100、VLAN 200和VLAN 300,其中VLAN 100用于转发AC和AP间CAPWAP隧道内的流量,VLAN 200用于转发Client无线报文,VLAN 300用于转发Guest VLAN的报文。